Sabotaggio silenzioso: siti Craft CMS non patchati sotto assedio da hacker con iniezione di codice
Una vulnerabilità critica in Craft CMS sta permettendo agli attaccanti di dirottare i server web-e le agenzie federali stanno correndo contro il tempo per correggere la minaccia.
In un tranquillo lunedì di giugno, nel catalogo delle Known Exploited Vulnerabilities della CISA è comparsa una nuova voce-una nota tecnica che, per migliaia di organizzazioni, potrebbe significare disastro. La falla, annidata in profondità nella popolare piattaforma Craft CMS, non è un bug teorico: gli hacker la stanno già sfruttando attivamente, impiantando codice malevolo e forzando l’accesso fino al pieno compromesso del server. Ora, con una scadenza federale che incombe, gli amministratori si affannano per difendere il proprio territorio digitale prima che gli attaccanti si infilino tra le crepe.
L’anatomia di una violazione
La vulnerabilità al centro di questa crisi, CVE-2025-35939, è più di una semplice svista di programmazione. Deriva dalla gestione impropria, da parte di Craft CMS, di un parametro “return URL”, che viene salvato nei file di sessione PHP senza un adeguato filtraggio dell’input. Questo permette ad attaccanti non autenticati di iniettare codice PHP arbitrario in una posizione prevedibile sul server-un classico presupposto per sfruttamenti successivi.
Ma il vero pericolo emerge quando questa falla viene concatenata con un’altra debolezza, CVE-2025-32432, che a sua volta affonda le radici nel framework Yii sottostante (CVE-2024-58136). Prima impiantando un payload malevolo tramite CVE-2025-35939 e poi innescandone l’esecuzione attraverso un endpoint vulnerabile di trasformazione delle immagini, gli attaccanti possono prendere il controllo dell’intero server-senza mai effettuare l’accesso.
Per le organizzazioni che eseguono versioni di Craft CMS interessate, i rischi sono netti: gli attaccanti possono distribuire web shell, sottrarre dati sensibili, muoversi più in profondità nelle reti o stabilire silenziosamente una persistenza a lungo termine. Sebbene la CISA non abbia ancora confermato casi di ransomware, la facilità tecnica e il codice di exploit pubblico rendono questo bug appetibile sia per gruppi criminali sia per attori statali.
La risposta federale è stata rapida: le agenzie hanno tempo fino al 23 giugno per applicare la patch, mitigare o mettere offline le istanze vulnerabili di Craft CMS. L’urgenza riecheggia le azioni della CISA su precedenti falle di Craft CMS, evidenziando un pattern preoccupante-nonostante una quota di mercato modesta, Craft CMS resta un bersaglio di alto valore per via della sua esposizione e della sofisticazione degli attacchi disponibili.
E adesso? Difendersi dallo sfruttamento
Agli amministratori viene raccomandato di aggiornare immediatamente a Craft CMS 4.15.3 o 5.7.5, assicurandosi che anche il vettore RCE concatenato venga chiuso. Dove l’applicazione della patch è in ritardo, gli esperti consigliano di disabilitare gli endpoint rischiosi, irrigidire le regole del web application firewall (WAF) e monitorare i segnali rivelatori: file PHP inattesi nelle directory di sessione, richieste insolite di trasformazione delle immagini o connessioni in uscita che potrebbero indicare una web shell in azione.
La lezione è chiara: nel mondo frenetico delle vulnerabilità dei CMS, anche piattaforme meno diffuse come Craft possono diventare, dall’oggi al domani, terreno privilegiato per il cybercrimine. Vigilanza, patching rapido e monitoraggio proattivo sono le uniche difese contro questa nuova forma di sabotaggio silenzioso.
WIKICROOK
- Esecuzione di codice da remoto (RCE): L’esecuzione di codice da remoto (RCE) si verifica quando un attaccante esegue il proprio codice sul sistema della vittima, spesso arrivando al controllo completo o al compromesso di quel sistema.
- File di sessione PHP: I file di sessione PHP memorizzano i dati utente sul server. Senza un’adeguata sicurezza, possono essere sfruttati, mettendo a rischio la privacy degli utenti e l’integrità dell’applicazione.
- Web shell: Una web shell è uno script malevolo caricato su un server dagli hacker, che consente loro di controllare il server da remoto tramite un’interfaccia web.
- Web Application Firewall (WAF): Un Web Application Firewall (WAF) monitora e filtra il traffico web, bloccando pattern di attacco noti per proteggere le applicazioni web dalle minacce informatiche.
- Exploit concatenato: Un exploit concatenato collega più vulnerabilità in sequenza, permettendo agli attaccanti di aggirare le difese e ottenere attacchi più dannosi rispetto ai singoli exploit.
Con l’evoluzione del panorama delle minacce, la recente vicenda di Craft CMS è un promemoria netto: nessuna piattaforma è troppo piccola per finire nel mirino dei cybercriminali. Chi esita ad applicare le patch potrebbe presto ritrovarsi il prossimo titolo in una serie di silenziose effrazioni digitali.




